Splunk Enterprise是一款數據分析軟件，可以讀取企業網絡設備數據、應用程序數據、傳感器數據到軟件執行可視化軟件，企業部署的設備以及各種工作軟件都可以連接到這款軟件，可以在軟件上統計事件信息，可以分析報警內容，可以創建報告，讓企業管理人員可以更好在軟件上分析各種業務數據，還可以創建可視化的報表展示數據，報表基于單個搜索且可能包括可視化、統計信息和/或事件，單擊名稱可查看報表，也支持在數據透視表或搜索中打開報表以優化參數或進一步瀏覽數據，如果你需要這款軟件就下載吧！

軟件功能

　　關于 Splunk 企業版

　　Splunk Enterprise 是一種軟件產品，可讓您搜索、分析和可視化從 IT 基礎設施或業務的組件中收集的數據。Splunk Enterprise 從網站、應用程序、傳感器、設備等獲取數據。定義數據源后，Splunk Enterprise 會為數據流編制索引并將其解析為一系列您可以查看和搜索的單獨事件。

　　大多數用戶使用 Web 瀏覽器連接到 Splunk Enterprise，并使用Splunk Web來管理他們的部署、管理和創建知識對象、運行搜索、創建數據透視表和報告等。您還可以使用命令行界面來管理您的 Splunk Enterprise 部署。

　　您可以使用應用程序擴展 Splunk Enterprise 環境以滿足您組織的特定需求。應用程序是在 Splunk 平臺上運行的配置、知識對象、視圖和儀表板的集合。單個 Splunk Enterprise 安裝可以同時運行多個應用程序

　　以下部分重點介紹了七個 Splunk Enterprise 功能。

　　1、索引

　　Splunk Enterprise 處理和存儲代表您的業務及其基礎設施的數據。您可以從網站、服務器、數據庫、操作系統等設備和應用程序收集數據。收集數據后，索引會分段、存儲、壓縮數據并維護支持元數據以加速搜索。

　　2、搜索

　　搜索是用戶在 Splunk Enterprise 中瀏覽其數據的主要方式。您可以將搜索保存為報告，并使用它來支持儀表板面板。搜索可從您的數據中提供洞察力，例如：

　　從索引中檢索事件

　　計算指標

　　在滾動時間窗口內搜索特定條件

　　識別數據中的模式

　　預測未來趨勢

　　3、警報

　　當歷史搜索和實時搜索的搜索結果滿足配置的條件時，警報會通知您。您可以配置警報以觸發操作，例如將警報信息發送到指定的電子郵件地址、將警報信息發布到 RSS 源以及運行自定義腳本，例如將警報事件發布到系統日志的腳本。

　　4、儀表盤

　　儀表板包含模塊面板，如搜索框、字段、圖表等。儀表板面板通常連接到已保存的搜索或數據透視表。它們顯示已完成搜索的結果以及來自在后臺運行的實時搜索的數據。

　　5、數據透視

　　數據透視是指您使用數據透視編輯器創建的表格、圖表或數據可視化。Pivot Editor 允許用戶將數據模型對象定義的屬性映射到表格、圖表或數據可視化，而無需使用搜索處理語言 (SPL)編寫搜索來生成它們。數據透視可以保存為報告并添加到儀表板。

　　6、報告

　　Splunk Enterprise 允許您將搜索和數據透視表保存為報告，然后將報告作為儀表板面板添加到儀表板。臨時運行報告，安排它們定期運行，或設置計劃報告以在結果滿足特定條件時生成警報。

　　7、數據模型

　　數據模型對有關一組或多組索引數據的專門領域知識進行編碼。它們使 Pivot Editor 用戶能夠創建報告和儀表板，而無需設計生成它們的搜索。

軟件特色

　　增強安全性

　　擁有更強大的安全態勢變得越來越難。攻擊更加復雜，攻擊者擁有比以往更多的方法。Splunk 可幫助您實現跨任何環境的安全操作現代化。結果：支持業務增長的更高效、更敏捷的安全運營中心 (SOC)。

　　推動彈性

　　客戶希望他們最喜歡的應用程序、網站和產品能夠正常運行。每次。這意味著您的系統必須是靈活的、可用的和高性能的——不管他們遇到什么。Splunk 提供技術堆棧所有層的運行狀況和性能的實時視圖，因此您可以主動發現問題、快速修復問題并優化性能。

　　解鎖創新

　　要進行任何規模的創新，組織都需要安全可靠的系統來找到正確的見解并據此采取行動。Splunk 提供了一個平臺，您可以在數據中發現新機會并保持創新，即使面對不可預測性

免費使用方法

　　1、解壓下載的全部文件，打開b23agv文件夾，安裝里面的splunk-6.4.3-b03109c2bad4-x64-release.msi

　　2、安裝結束后停止Splunk的服務內容，將crack破解文件夾里面的splunkd.exe復制到安裝地址替換，地址是C:Program FilesSplunkbin

　　3、如果提示該程序正在運行，無法替換，只需要進入任務管理器將splunkd service服務停止就可以替換成功

　　4、替換完畢后在任務管理器服務界面，將splunkd service服務再次打開，這樣軟件就可以正常運行

　　5、打開splunkd軟件自動進入瀏覽器管理界面，提示登錄界面，輸入名字admin，輸入密碼changeme，點擊Sign in登錄軟件

　　6、登錄后提示許可證設置界面，選擇第一個Enterprise許可證，點擊保存

　　7、彈出添加許可文件的界面，點擊選擇文件，添加b23agv文件夾里面的splunk-enterprise.lic到軟件使用，點擊安裝

　　8、如果在b23agv文件夾無法添加就將許可證lic復制到軟件的安裝地址下添加

　　9、提示新的許可證已經添加，點擊立即重啟

　　10、重啟完畢登錄自己的賬號，可以查看到授權信息，提示無許可違規，提示有效期2038年

　　11、現在就可以在軟件上管理自己的應用，如果你的企業已經部署了應用程序或者硬件設備就可以在這款軟件管理設備

　　12、賬號信息設置界面，可以在這里添加新的賬號，設置新的密碼

使用說明

　　1、添加數據后，使用“搜索”查看運行搜索、設計數據可視化、保存報表和創建儀表板。

　　2、您的搜索可以包括單詞、短語、字段=值對、通配符（*），以及例如 AND、OR 和 NOT 等布爾運算符。

　　3、選擇更小時間范圍加快您的搜索速度及縮小您的搜索結果。

　　4、突出事件的一部分并單擊它，將它包括或排除于搜索中。

　　5、字段邊欄顯示搜索已自動從事件中提取出來的字段。使用字段提取器提取其他字段。

　　6、字段摘要顯示字段值的分布。單擊一個值將其加入您的搜索或使用“報表”鏈接創建可視化。

　　7、使用特殊搜索命令將搜索結果轉換至統計數據圖表中并創建可視化。

　　8、選擇一個匹配您所想要傳遞信息的可視化類型。選擇可視化后，您可以自定義其外觀。

　　9、您可以可視化您的搜索結果并使用儀表板面板與他人分享。

　　10、如果您已經有一個儀表板，您可以從報表中添加新面板、從另一個儀表板中復制，或添加預構建面板。

　　11、您可以修改面板搜索或選擇不同的可視化，例如，將您的數據設計成餅圖或條形圖。選擇可視化后，您可以自定義其外觀。

　　12、您可以檢查搜索、以不同格式導出，或刷新它以可視化最新數據。

　　13、您可以以 PDF 格式導出儀表板或通過電子郵件計劃 PDF 交付。

官方教程

　　使用數據透視編輯器設計數據透視表

　　添加樞軸元素

　　單擊+圖標。這將打開元素對話框，您可以在其中選擇一個字段，然后定義元素如何使用該字段。有關元素對話框的詳細信息，請參閱下面的“定義樞軸元素”。

　　檢查或編輯元素

　　單擊元素上的“鉛筆”圖標。這將打開元素對話框。有關元素對話框的詳細信息，請參閱下面的“定義樞軸元素”。

　　對樞軸元素類別中的樞軸元素重新排序

　　將元素拖放到其樞軸元素類別中以對其重新排序。例如，如果您在 Split Rows 樞軸元素類別中有page_category和department元素，但您想要將它們重新排序以便排department在之前 page_category，您只需將它們拖放到正確的順序即可。

　　在樞軸元素類別之間傳輸樞軸元素

　　拖放它們。您添加page_category為列值元素只是為了意識到它作為拆分列元素會更好地工作嗎？只需將其拖到拆分列并將其放在那里。

　　元素轉移注意事項：

　　您不能將元素傳入或傳出過濾器類別。

　　您不能將具有Count_of_字段的列值元素轉移到任何其他類別。同樣，如果您正在使用具有子項的數據集，則不能將具有is_< child_dataset_name>或is_not_字段的列值元素傳輸到任何其他元素類別。以下是這些列值選項如何針對包含子項的數據集顯示的示例：

　　從樞軸編輯器中刪除樞軸元素

　　您可以通過以下兩種方式之一刪除樞軸元素：

　　您可以打開其元素對話框并單擊刪除按鈕。

　　您可以向上或向下拖動元素，直到它變成紅色并將其放下。

　　為數據透視表配置元素

　　添加或編輯樞軸元素時，您可以使用元素對話框來定義它。元素對話框分為兩個步驟。在一個步驟中，您可以選擇（或更改）元素字段。在另一個步驟中，您定義（或更新）元素配置。

　　添加元素時，首先選擇元素字段，然后繼續配置元素。

　　當您編輯現有元素時，您將從元素配置步驟開始。單擊對話框中的后退箭頭轉到元素字段步驟，您可以在其中更改字段。

　　配置過濾元件

　　您可以為數據透視表定義三種過濾元素：

　　構建樞軸時，時間過濾器始終存在；你不能刪除它。它定義了數據透視表返回結果的時間范圍。它的操作與整個 Splunk Web 中使用的時間范圍菜單完全一樣。

　　匹配過濾器使您能夠為字符串、數字、時間戳、布爾值和 IPv4 地址設置匹配。例如，您可以找到所有價格大于或等于 $19.99 的在線商店購買事件。或者，您可以找到網站訪問者的 IPv4 值以 開頭的所有網站點擊192.168。

　　注意：目前匹配過濾器可用于設置“AND”布爾運算，但不能設置“OR”布爾運算。因此，您可以設置一對過濾器，組合起來時會說customer_country = Spain AND France但不會customer_country = Spain OR France。

　　限制過濾器使您能夠以某種方式限制數據透視表返回的結果數量。

　　下面是一個限制過濾器示例：假設您有一家提供數百種產品的在線商店，并且您想了解有關過去一周購買的商品的更多信息。您可以創建一個數據透視報告，按產品名稱細分購買事件的總數，并通過該報告快速查看您的哪些產品是該時期的最暢銷產品。但是，如果您想了解哪 10 種產品是您同期收入最高的產品怎么辦？您需要做的就是添加一個 limit 過濾器元素，以確保報告僅顯示其購買事件的價格總和最高的 10 種產品。這樣，過去一周內只有 10 次購買事件但price價值 100 美元（總金額為 1000 美元）的產品可能位于列表的頂部，而具有 500 次購買事件但price1 美元（500 美元）在列表中可能低得多，并且可能不在返回的前 10 個結果中。

　　為了使表格更易于閱讀，您可以添加一個顯示價格的拆分行列和一個顯示價格總和（給定時間范圍內所列產品返回的收入總額）的列值列。

　　下面是這個示例的外觀，數據類似于數據模型教程中的數據，按“價格總和”排序。請注意，購買最成功的產品不在列表頂部。

　　匹配過濾器選項

　　匹配過濾器元素的配置選項取決于您為該元素選擇的字段類型。

　　如果您將過濾器基于字符串類型字段，則指定一個過濾規則（您的選項是is、contains、is not、does not contain、starts with、ends with、is null和is not null）和字段應該應用過濾規則（不適用于is null和is not null過濾規則）。

　　如果過濾器基于 IPv4 字段，則可以指定與字符串字段相同的選項，但ends with過濾器規則除外。

　　如果您將過濾器基于數字類型字段，則指定一個過濾規則（您的選項是=、!=、<、<=、>=、>、為 null和is not null）和字段值過濾規則應應用于（不適用于is null和is not null過濾規則）。

　　如果過濾器基于布爾類型字段，則可以指定過濾器是否應選擇字段值為true、false、null或非null的事件。

　　如果您將過濾器基于時間戳類型字段，則可以使用時間范圍菜單來選擇最早和最晚時間。

　　限制過濾器選項

　　您可以將限制過濾器元素基于字符串和數字類型字段。您可以指定：

　　要限制的字段——這可以是任何字符串、數字或當前數據集中可用的Count_of_字段，包括過濾器元素正在過濾的字段。

　　如何限制：您的選擇是最高和最低

　　要返回的最大結果數——這可以是任何數字。

　　申請限制的統計功能。此處可用的功能取決于您要限制的字段類型。

　　對于字符串字段，您可以選擇counts和distinct counts。

　　對于數字字段，您可以選擇counts、distinct counts、sums和averages 。

　　對于Count_of_字段，counts是唯一可能的選擇。

　　注意：為具有高基數（例如或）的字段選擇不同的計數會降低數據透視性能。 NamePhone_Number

　　配置拆分行或拆分列元素

　　可用于拆分行和拆分列元素的配置選項取決于您為它們選擇的字段類型。一些配置選項特定于拆分行或拆分列元素，而無論您選擇什么字段類型，其他選項都可用于任一元素類型。

　　無論字段類型如何，拆分行和拆分列元素通用的配置選項

　　最大行數或最大列數 - 結果表中可以出現的最大行數或列數。必須是非負數；值為0表示未設置最大值。在一些特殊情況下，Max Rows/Max Columns選項不可用：

　　如果只有一個拆分，并且它是基于時間戳或布爾字段類型。

　　如果只有一個拆分并且它基于數字字段類型并配置為使用數字范圍（請參閱下面的數字字段類型可用的配置選項）。

　　總計- 指示是否在名為ALL的字段中包含表示所有其他項總計的行或列。

　　默認設置為否。

　　所有行/列不計入最大行數/最大列數限制。

　　無論字段類型如何，特定于拆分行元素的配置選項

　　標簽- 出于報告目的，使用它可以使用不同的文本字符串覆蓋字段名稱。例如，您可以使用它來確保標題為“產品名稱”的字段在數據透視表中顯示為“產品”。

　　排序- 應如何對元素創建的拆分行進行排序。可用值為Default、Descending和Ascending 。默認為默認。

　　當排序值為默認值時， Splunk 軟件會根據第一個拆分的字段類型對行進行自然排序。換句話說，如果第一次拆分是打開的uri（字符串字段），則行將按 的值的字母順序排序uri。如果它打開_time（時間戳字段），行將按時間順序升序排序。

　　當Sort值為Descending或Ascending時，行將按輸出度量值的第一個 Column Values 元素的值排序（通過計數、總和、平均值等聚合操作）。

　　無論字段類型如何，特定于拆分列元素的配置選項

　　Group Others - 指示是否將最大列限制排除的任何結果分組到單獨的OTHER列中。

　　可用值是Group Others和Hide Others。默認為Group Others。

　　OTHER列不計入最大列限制。

　　如果您為拆分行或拆分列元素選擇了字符串字段

　　沒有特定于拆分行和拆分列元素通用的字符串字段的配置選項。

　　如果您為拆分行或拆分列元素選擇了數字字段

　　創建范圍- 指示您是希望將數值表示為范圍（是）還是單獨列出（否）。默認情況下設置為Yes，但如果您將其他值范圍字段留空，它的行為就像設置為No一樣。選擇“是”時，您可以選擇確定：

　　將結果排序到的最大范圍數

　　每個范圍的最大尺寸

　　范圍的開始值和結束值

　　如果您為拆分行或拆分列元素選擇了布爾字段

　　您可以為真值和假值提供替代標簽。

　　如果您為拆分行或拆分列元素選擇了時間戳字段

　　Period - 使用它按Year、Month、Day、Hour、Minute或Second對時間戳結果進行存儲。默認設置為自動。

　　配置列值元素

　　當您第一次進入 Pivot Editor 時，您會發現一個列值元素，它提供數據集在所有時間返回的結果計數。您可以更改的“<數據集名稱> 計數”元素的唯一方面是其標簽——更改其在數據透視表中的名稱。您可以選擇保留此元素，或刪除它以支持或不同的列值元素。

　　新的列值元素可以基于字符串、數字和時間戳字段類型。在所有情況下，您都可以根據需要更新元素的標簽。

　　當您添加字符串、數字或時間戳記事件時，您指定了應該用于計算列單元格中顯示 的值的計算。

　　對于字符串字段，選項有List Distinct Values、First Value、Last Value、Count和Distinct Count。

　　對于數字字段，選項有Sum、Count、Average、Max、Min、Standard Deviation和List Distinct Values。

　　對于時間戳字段，選項為Duration、Earliest和Latest。

　　注意：為具有高基數（例如或）的字段選擇Distinct Count會降低數據透視性能。 NamePhone_Number